Cisco 2960 Switch Port Block
CLI Guru - Cisco Eğitim ve Danışmanlık Merkezi |

2007 yılından bu yana aktif olan ciscotr.com, kısa bir süre sonra " www.bilisim.pro " olarak devam edecektir.  
Mevcut mesajlarınız ve kullanıcı bilgilerinizle yenilenen sitemizde katılıma devam edebileceksiniz.

+ Konuyu Cevapla
Toplam 9 sonuçtan 1 ile 9 arasındakiler gösteriliyor.
Cisco 2960 Switch Port Block

Arkadaşlar çalışıtıgım şirkette 2 adet 2960 cisco switch var bu switchler 1 numaralı Fastethernet protlarından switch modda birbirlerine baglılar. Bundan kısa bir süre önce siwtchler arasında ip tabanlı engelleme yapmıştım

  1. #1
    movaxsi isimli Üye şimdilik offline konumundadır Junior Member
    Üyelik tarihi
    Mar 2010
    Mesajlar
    13

    Standart Cisco 2960 Switch Port Block

    Arkadaşlar çalışıtıgım şirkette 2 adet 2960 cisco switch var bu switchler 1 numaralı Fastethernet protlarından switch modda birbirlerine baglılar. Bundan kısa bir süre önce siwtchler arasında ip tabanlı engelleme yapmıştım ancak şu anda iki switchi birbirine baglayan 1 numaralı Fast Ethernet portları üzerinden belirli portları engellemek istiyorum. örneğin sadece oracle baglantısı için 1521 numaralı porta izin verip diger portlar üzerinde haberleşmeyi devre dışı bırakmak istiyorum. bunun için ACL type seçeneginde mac extended özelligi kullanarak yapmayı düşünüyorum. sizce bu ne derece sağlıklı olur. bunun dışında engelleme yapabilecegim farklı bir yol bilen varmı acaba...
    Konu movaxsi tarafından (14.04.2010 Saat 22:09 ) değiştirilmiştir.

  2. #2
    Soul isimli Üye şimdilik offline konumundadır Administrator
    Üyelik tarihi
    Jun 2008
    Mesajlar
    1,080

    Standart

    l2 swiyesinde başka seçeneginiz yok malesef. ancak mac ile port bazlaı engelleme yapamazsınız çünkü tcp veya udp l4 calısır switch bundan anlamayacaktır. 2960 da vacl varmı cok emin değilim denemek lazım.
    www.cliguru.com

  3. #3
    Fiver isimli Üye şimdilik offline konumundadır Senior Member
    Üyelik tarihi
    Oct 2008
    Mesajlar
    249

    Standart

    Port ACL kullanabilirsiniz. Port bazinda sadece inbound olarak uygulanir; Normal ACL gibi IP/TCP/UDP filtrelemesi yapabilirsiniz. Detaylar icin:
    Catalyst 2960 Switch Software Configuration Guide, 12.2(25)SEE - Configuring Network Security with ACLs

    Yanliz bu hic ideal bir cozum degil. Sirketinizde bir router yok mu sizi baska networklere/dis dunyaya baglayan?
    Ideali 2960'lar uzerinde VLAN'lar yaratmak ve bunlar arasinda filtreleme yapmaktir.

  4. #4
    movaxsi isimli Üye şimdilik offline konumundadır Junior Member
    Üyelik tarihi
    Mar 2010
    Mesajlar
    13

    Standart

    iki switch tek bir networkte çalışıyor ancak arada mesafe uzun ve iki switch arası baglantı AP lerle kablosuz yapılmakta router gibi birşeye ihtiyacımız yok . kablosuz baglantının yavaşlıgından dolayı dolayı sadece oracle portunun 1521 portunun haberleşmesini istiyorum. farklı uygulamaların yada kullanıcıların dosya paylaşımını istemiyorum bunun için cisco network assistan programındaki acl den standar ip- extended ip- mac extended özelliklerinden birisiyle yapmayı düşünüyorum mac extended ile uygulamayı denemelik radmin üzerinde yptım çalışıyor baglantı yapmıyor hiçbir şekilde. benim istediğim işi bu özellikle görüyor ancak daha farklı bir yöntem varmı performası etkilemeyecek çünkü sistemde 160 client mevcut. yani switchler üzerinden en az 60 client haberleşiyor.......

  5. #5
    trunkmode isimli Üye şimdilik offline konumundadır Administrator
    Üyelik tarihi
    Jun 2008
    Mesajlar
    1,332

    Standart

    merhaba
    arkadaşlar çözüm önerisi sunmuşlar benim değinmek istediğim
    2 switch arası fiber çekilmesi mümkünse bunu yapmanızı öneririm

  6. #6
    movaxsi isimli Üye şimdilik offline konumundadır Junior Member
    Üyelik tarihi
    Mar 2010
    Mesajlar
    13

    Standart

    CISCO_B_BLOK(config)# no ip access-list Extended SecWiz_Fa0_1_in_ip
    CISCO_B_BLOK(config)# ip access-list extended SecWiz_Fa0_1_in_ip
    CISCO_B_BLOK(config-ext-nacl)# deny tcp any any eq 1521
    CISCO_B_BLOK(config-ext-nacl)# permit ip any any
    CISCO_B_BLOK(config-ext-nacl)# exit
    CISCO_B_BLOK(config)# interface FastEthernet0/1
    CISCO_B_BLOK(config-if)# ip access-group SecWiz_Fa0_1_in_ip in

    bu komut sayesinde 1521 numaralı porta erişimi engelleyebiliyorum. burada nasıl bir ayar yapmalıyımki sadece 1521 e izin versin onun dışındaki tüm portlar deny durumunda olsun......

  7. #7
    Fiver isimli Üye şimdilik offline konumundadır Senior Member
    Üyelik tarihi
    Oct 2008
    Mesajlar
    249

    Standart

    access-list altina sadece:
    permit tcp any ORACLE_SERVER_IP eq 1521

    ya da istersen server_ip yerine any kullanirsin.

  8. #8
    movaxsi isimli Üye şimdilik offline konumundadır Junior Member
    Üyelik tarihi
    Mar 2010
    Mesajlar
    13

    Standart

    1521 numaralı porta izin veriyorum ama onun dışında kalan tüm portlar için deny işlemini nasıl yapmam lazım.
    deny tcp any any eq ..... gelen port numarası olarak nasıl birşey yazmam lazım

  9. #9
    Fiver isimli Üye şimdilik offline konumundadır Senior Member
    Üyelik tarihi
    Oct 2008
    Mesajlar
    249

    Standart

    yok lazim degil; her access listin sonunda "implicit" olarak deny all vardir.

+ Konuyu Cevapla

Bu Konuyu Paylaşın !

Bu Konuyu Paylaşın !

Yetkileriniz

  • Konu Acma Yetkiniz Yok
  • Cevap Yazma Yetkiniz Yok
  • Eklenti Yükleme Yetkiniz Yok
  • Mesajınızı Değiştirme Yetkiniz Yok